之前用自动识别 识别不了apache的日志,说:
暂不支持该类日志,请反馈到星图官方群。谢谢!
配置无误后请关闭窗口,重新执行。
用自定义格式,自定义字段倒是个问题:
Unable to parse: - with default regular expression
原来的分割符:|
换成空格之后成功识别了。
环境:
LogFormat "%h %l %u %t \"%r\" %>s %b" common
请求记录:
***.com 31.184.238.211 - - [22/Jul/:00:05:56 +0800] "GET /forum.php?mod=forumdisplay&fid=49 HTTP/1.0" 200 35785
星图的config.ini配置如下:
#360星图系统配置文件#日志文件存放路径,可以是直接目录也可以是文件,(如:d:\logs\1.log 或 d:\logs\,如果使用d:\logs\的方式,并logs目录下存在其他文件夹则无法分析这些文件夹内的日志文件)log_file:C:\Users\Desktop\#日志文件类型设置,1:自动识别iis/apache/nginx日志 2:自定义格式xingtu_logtype:2#是否生成Html分析报告(包括常规报告及安全分析报告),1:不开启;2:开启common_analysis:2#默认host,建议替换default为网站域名,不带http://host:default#设置接收运行通知的邮件xingtu_email:#是否作为定时任务,1:不作为定时任务;2:作为定时任务,只分析log_file指定目录下最新的日志文件schedule_analysis:1#----------------------------web攻击自定义配置分割线---------------------------------##URL类型设置,1:分析全部URL;2:只分析带参数的URL;3:只分析不带参数的URLxingtu_urltype:1#URL后缀设置,1:分析全部URL;2:只分析动态文件(过滤图片,静态html,js,css);3:只分析指定后缀,通过xingtu_pagetype_particular指定后缀,默认php,aspxingtu_pagetype:1#指定URL后缀设置,当xingtu_pagetype:3时有效xingtu_pagetype_particular:php,asp#HTTP状态码设置,1:分析全部状态码;2:只分析200状态码;3:只分析指定状态码,通过xingtu_httpcode_particular指定具体的状态码,默认404,502xingtu_httpcode:1#指定HTTP状态码设置,当xingtu_httpcode:3时有效xingtu_httpcode_particular:404,502#----------------------------web攻击自定义配置分割线---------------------------------##----------------------------自定义日志格式分割线------------------------------------##配置自定义日志格式前,请务必阅读帮助信息:/xingtu/help#自定义格式设置,需要设置下面的四项目,使用的格式名称(logformat_use)、分隔符(名称_delimited)、字段数(名称_fieldssize)、格式模板(名称_logtemplate)#日志格式名称logformat_use:name#分隔符name_delimited:\s#字段数name_fieldssize:11#自定义字段,需要按以下给定的名称进行设置,其他未提供的名称可以自行设定。#name_logtemplate:node|time_local|remote_addr|forwoard_for|request_length|reponse_code|method|host|request_url|content_length|time|http_referer|http_user_agent|#LogFormat "%h %l %u %t \"%r\" %>s %b" commonname_logtemplate:host remote_addr - - time_local +0800] method request_url HTTP\/1\.[01]\" reponse_code content_length#----------------------------自定义日志格式分割线------------------------------------##----------------------------CC攻击自定义配置分割线----------------------------------##是否开启CC攻击分析,1:不开启;2:开启cc_analysis:2#网站5分钟内的最高访问次数cc_concurrent_request:600#环比增长次数在5分钟内占总访问的比率cc_request_growth:0.5#5分钟内,同一ip在总访问中的最大比率,设置在大于0,小于1之间cc_ip_rate:0.5#----------------------------CC攻击自定义配置分割线----------------------------------##以下配置请勿修改rule_ver:1219sign:NDAtOGQtNWMtMDgtMGEtZjI=
如果觉得《360星图-Web日志分析 使用记录》对你有帮助,请点赞、收藏,并留下你的观点哦!
